多くの住民にとって“想定外”の津波が押し寄せた東日本大震災。慶應義塾大学 環境情報学部の武田 圭史 教授はその教訓を踏まえ、2011年4月22日に開催された「セキュリティセミナー ~クラウド時代のセキュリティ対策~」の基調講演で、「リスク管理の考え方を変える必要がある」と指摘した(写真)。
武田氏によると、一般的なリスク管理は「脅威」がベースになっている。脅威とは例えば、「数日間にわたる停電」といったもの。そうした脅威を想定することで、自家発電装置を導入するという具合に、事前に対策を講じられる。これは“想定内”の脅威に有効だ。しかし、“想定外”の脅威には対処しきれない。
企業の情報セキュリティにおいては、脅威をすべて想定し対策を講じるのが難しく、「ガチガチに機密情報を守ろうとしても守りきれない状況になっている」と武田氏は訴える。そのため「(何が原因で起こるかに関係なく)PCが使えなくなったら、どうするか」といった「事象」をベースにしたリスク管理も必要だという。これは、BCP(事業継続計画)で用いられる考え方である。
情報を守りきるのはもはや難しい
機密情報を守りきれない状況を象徴する出来事として、武田氏は警視庁公安部の内部資料がファイル共有ソフトによってインターネット上に流出した事件を紹介した。「自信を持って管理している組織からも、情報は漏れている」(武田氏)。
さらに武田氏は最近の傾向として、攻撃対象を絞り込む「標的型」のセキュリティ攻撃が増えていることに言及した。その一例として、武田氏自身が見知らぬ誰かから受け取ったウイルスメールを挙げた。そのメールには、exe形式のウイルス実行ファイルが添付されており、そのアイコンの絵柄がPDFファイルのものに差し替えられていた。受信者がPDFファイルだと思ってアイコンをクリックすると、ウイルスに感染する仕組みである。
この程度のセキュリティ攻撃であれば事前対策を講じるのは難しくないかもしれないが、攻撃は多様化しており、思わぬ盲点を突かれることがある。武田氏は盲点の一例として、ある調査会社の実験を紹介した。
ある企業のオフィスの入り口にUSBメモリーを落としておいたところ、20個のうち17個が社員に拾われ、社内のPC端末に接続されたという。このUSBメモリーに、PCに接続するだけでウイルスが感染する仕掛けが施されていたら、機密情報の流出に至った可能性が高い。
さらに最近では、国家の関与が指摘される大規模なセキュリティ攻撃も起こっているという。このように、情報セキュリティでは“想定外”の脅威が現実のものになっている。それだけに「事象」をベースにしたリスク管理が重要だと、武田氏は強調した。
第2段落に2カ所、「驚異」という表記がありましたが、正しくは「脅威」です。お詫びして訂正します。本文は修正済みです。 [2011/4/22 20:00]
